Băieții Buni Aduceți Botnetul Mega-D

De doi ani, în calitate de cercetător al firmei de securitate FireEye, Atif Mushtaq a lucrat pentru a menține malware-ul Mega-D din infectarea rețelelor clienților. În acest proces, el a învățat cum funcționau controlorii săi. În iunie, a început să-și publice constatările online. În noiembrie, el a trecut brusc de la defect la infracțiune. Și Mega-D - un botnet puternic și rezistent care a forțat 250.000 de computere să-și facă oferta - a coborât.

Mushtaq și doi colegi FireEye au trecut după infrastructura de comandă a Mega-D. Primul val de atac al botnet-ului utilizează atașamente prin e-mail, atacuri pe internet și alte metode de distribuție pentru a infecta un număr imens de PC-uri cu programe bot rău intenționate.

Boții primesc ordine de marș de la serverele de comandă și control online (C & C) dar acele servere sunt călcâiul lui Ahile al lui botnet: Izolați-le, iar roboții nedirecționați vor sta în picioare. Controlerele Mega-D au folosit însă o mulțime de servere C & C și fiecare bot din armată a primit o listă de destinații suplimentare pentru a încerca să nu ajungă la serverul principal de comandă. Deci, luarea Mega-D ar necesita un atac coordonat cu atenție.

Echipa lui Mushtaq a contactat mai întâi furnizorii de servicii de Internet care au găzduit în mod nemaipomenit Mega-D servere de control; cercetările sale au arătat că majoritatea serverelor au avut sediul în Statele Unite, unul în Turcia și altul în Israel.

Grupul FireEye a primit răspunsuri pozitive, cu excepția furnizorilor ISP din străinătate. Serverele interne C & C au scăzut.

În continuare, compania Mushtaq și compania au contactat registratorii de nume de domeniu care dețin înregistrări pentru numele de domenii pe care Mega-D le-a folosit pentru serverele sale de control. Registratorii au colaborat cu firma FireEye pentru a indica numele de domenii existente ale Mega-D în locații unde nu există. Prin desființarea grupului de nume de domenii al botnet-ului, operatorii de antivirus s-au asigurat că boții nu au putut ajunge la servere afiliate Mega-D pe care ISP-urile de peste mări au refuzat să le scadă. că controlorii Mega-D sunt listați în programarea roboților. Controlorii intenționau să înregistreze și să utilizeze una sau mai multe rețele principale de rezervă dacă domeniile existente s-au scufundat - așa că FireEye le-a ridicat și le-a arătat la "sinkholes" (servere pe care le-a instalat pentru a sta liniștit și a face eforturi logice de către Mega -D bots pentru a verifica pentru comenzi). Folosind acele jurnale, FireEye a estimat că botnet-ul a constat din aproximativ 250.000 de computere infectate cu Mega-D.

Down Goes Mega-D

MessageLabs, o filială Symantec de securitate prin e-mail, raportează că Mega-D în topul primelor 10 spam-uri "pentru anul precedent (find.pcworld.com/64165). Producția de botnet a fluctuat de la o zi la alta, dar la 1 noiembrie Mega-D a reprezentat 11,8% din spam-ul mesajelor MessageLabs. Trei zile mai târziu, acțiunea lui FireEye a redus cota de piață a spam-ului Mega-D de pe Internet la mai puțin de 0,1 %

FireEye intenționează să predea efortul anti-Mega-D la ShadowServer.org, un grup de voluntari care va urmări adresele IP ale mașinilor infectate și va contacta ISP-urile și firmele afectate. Rețeaua de afaceri sau administratorii ISP se pot înregistra pentru serviciul de notificare gratuită.

Continuarea bătăliei

Mushtaq recunoaște că ofensiva reușită a lui FireEye împotriva Mega-D a fost doar o luptă în războiul împotriva programelor malware. Criminalii din spatele Mega-D ar putea încerca să-și reînvie botnetul, spune el, sau ar putea să-l abandoneze și să creeze unul nou. Dar alte botneturi continuă să prospere. "FireEye a avut o victorie majoră", spune Joe Stewart, director de cercetare malware cu SecureWorks. "Întrebarea este, va avea un impact pe termen lung?"

La fel ca FireEye, compania de securitate a lui Stewart protejează rețelele clienților de botneturi și alte amenințări; și ca Mushtaq, Stewart a petrecut ani de zile în lupta împotriva întreprinderilor infracționale. În 2009, Stewart a subliniat o propunere de creare a grupurilor de voluntari dedicate pentru a face ca botneturile să fie neprofitabile. Dar puțini profesioniști în domeniul securității s-ar putea angaja într-o activitate voluntară atât de consumatoare de timp.

"Este nevoie de timp, resurse și bani pentru a face acest lucru zi după zi", spune Stewart. S-au întâmplat și alte lovituri de sub radar la diverse botneturi și organizații criminale, dar aceste eforturi lăudabile "nu vor opri modelul de afaceri al spammerului".

Mushtaq, Stewart și alți profesioniști în domeniul securității sunt de acord că aplicarea legii federale trebuie să intervină cu eforturi de coordonare cu normă întreagă. Potrivit lui Stewart, autoritățile de reglementare nu au început să elaboreze planuri serioase pentru a face acest lucru, dar Mushtaq spune că FireEye împărtășește metoda sa cu aplicarea legii interne și internaționale și că are speranță. căutați să faceți acest lucru din nou ", spune Mushtaq. "Vrem să le arătăm băieților răi că nu dormim."